Seguridad Derecho informático Derecho nuevas tecnologías


Derecho informático Derecho nuevas tecnologías
Seguridad Derecho informático Derecho nuevas tecnologías
 Noticias
  • Descubiertos varios fallos de seguridad en Iberia.com [07-06-04]  

    El sistema de reservas a través de Internet de la compañía aérea Iberia, sufre graves fallos de seguridad que pueden poner en peligro los datos personales de los usuarios que realicen este tipo de operaciones utilizando la página corporativa www.iberia.com.

    Infohacking, una organización española dedicada a la búsqueda de vulnerabilidades en dispositivos, programas y portales acaba de descubrir una fallo de seguridad en una de las compañías más importantes de España, poniendo en entredicho una vez más la seguridad de las transacciones que impliquen el pago con tarjeta de crédito a través de Internet.

    Iberia posee un sistema de reservas de vuelo por Internet que permite realizar operaciones de compra de billetes utilizando una tarjeta de crédito. Aunque el portal realice la operación a través de canales cifrados y supuestamente seguros (SSL o Secure Sockets Layer) no repara en la inclusión de datos sensibles en texto claro en la propia página HTML, lo que supone un potencial y peligroso agujero de seguridad. Este "descuido", añadido a una vulnerabilidad del tipo Cross Site Scripting (XSS) que también ha sido descubierta por Infohacking, elevan las posibilidades de riesgo para el usuario de la página.

    Por si esto fuera poco Hugo Vázquez, integrante de Infohacking, ha descubierto igualmente cómo tener acceso a zonas sensibles del portal de reservas, desde donde pueden controlar distintos aspectos de la administración del sistema de reservas.

    Tras ponerse en contacto con la empresa interesada en repetidas ocasiones y no recibir respuesta, Hugo ha decidido hacer público su descubrimiento a través de esta nota de prensa. Cabe recordar que este es el protocolo típico a seguir ante el descubrimiento de un fallo de seguridad en algún sistema importante. Los investigadores deben ponerse inmediatamente en contacto con la compañía avisando del problema y aportando soluciones para que se solvente lo antes posible e impedir que el fallo afecte a los usuarios. Si tras repetidos intentos la empresa hiciera caso omiso, la obligación de los descubridores es hacerlo público para que todos sean conscientes del error y puedan elegir si hacer uso o no del servicio.

    No es la primera vez que Infohacking encuentra un importante fallo de seguridad en sistemas críticos. En mayo de 2003 hicieron público un grave error de XSS en los proxies Inktomi Traffic-Server 5.5.1. Esto no tendría mayor importancia si estos no fueran los dispositivos usados por Telefonica para dar el famoso servicio de proxy-caché que pusieron en marcha a principios de 2003. Por lo tanto este problema afectaba de cerca a todos los internautas españoles que usan Internet con los proxy-caché de Telefonica como intermediarios en su navegación, ya sea a través de ADSL, módem o cable. Hugo Vázquez advertía de la gravedad del problema, pues era posible robar las cookies de (literalmente) cualquier dominio, y del impresionante número de personas y empresas que se veían afectadas por esta vulnerabilidad. Afortunadamente, tras hacerlo público el fallo fue solucionado en pocos días, aunque tampoco recibieron respuesta por parte de Telefonica.

    Más información y referencias:

    Iberia pierde aciete:
    http://www.infohacking.com/iberia/index.html

    INKTOMI Traffic-Server XSS
    http://www.infohacking.com/INFOHACKING_RESEARCH/Our_Advisories/Traffic-Server/

    Sergio de los Santos
    http://www.forzis.com



  • Noticias actuales...
    Archivo de noticias...
  •  
    Gratis Servicio de noticias
    Suscribir Borrado
    Tus Sugerencias son bienvenidas
    Pincha Aquí
    ¡¡Lista de correo!!
    Introduzca su correo: